Informe de abuso de Amazon EC2

2

Mi empresa recibió recientemente un correo electrónico de Amazon que nos notificó sobre actividades maliciosas que se producen en nuestra instancia de EC2 en ejecución.

El correo electrónico dice: Observamos máquinas bajo su control participando en un ataque DDoS orientación a las IP de Google.

El ataque fue un ataque de amplificación UDP. En este ataque, un UDP basado en se abusa del servicio para atacar a otros, desperdiciando su ancho de banda y computando recursos.

Soy bastante nuevo en todo esto además de AWS y no tengo idea de por dónde empezar. ¿Cuáles deberían ser los primeros pasos que debo tomar para mitigar esto?

Después de ejecutar los comandos de @ximaera

Davids-MacBook-Pro:~ davidpham$ ntpdc -nc monlist *ip*
*ip*: timed out, nothing received
***Request timed out
Davids-MacBook-Pro:~ davidpham$ dig @ip +edns=0 +ignore com ANY

<<>> DiG 9.10.6 <<>> @ip +edns=0 +ignore com ANY
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Davids-MacBook-Pro:~ davidpham$ 

Esta fue la salida que recibí. ¿Me estoy perdiendo algo?

    
pregunta David Pham 06.10.2018 - 00:00
fuente

1 respuesta

1

En general, hay una lista larga de servidores y protocolos vulnerables para la amplificación UDP. Aquí se pueden encontrar algunas llamadas a la línea de comandos para determinar la presencia de algunos de los vectores de amplificación más destacados . Todos los comandos deben ser mejor invocados de forma remota. P.ej. si su servidor es 192.0.2.1, entonces, para verificar si hay un amplificador NTP, lo hace

ntpdc -nc monlist 192.0.2.1

desde su computadora portátil o desde una máquina de centro de datos adyacente.

Recomendaría verificar NTP y DNS primero, y si no hay coincidencia, luego profundizar en los detalles.

tcpdump -ni any udp en el propio servidor definitivamente te ayudará a bucear. Si puede detectar el tráfico que no espera ver en el volcado, puede rastrear la aplicación vulnerable que está escuchando en el puerto visto en el volcado mirando (o grep ing) a la salida de ss -lpn .

EDITAR. Así que ahora, como ha proporcionado la dirección IP de su servidor, he podido comprobarlo y resulta que tiene un amplificador PORTMAP activo:

$ rpcinfo -T udp $ip | wc -l
      17
$

Básicamente, necesitabas pasar por el resto de las comprobaciones más allá de las de DNS y NTP.

La solución es obviamente deshabilitar el asignador de puertos ( he aquí cómo lo haces en Debian / Ubuntu) o al menos bloquea el acceso al puerto 111 / UDP a través del firewall.

    
respondido por el ximaera 06.10.2018 - 00:58
fuente

Lea otras preguntas en las etiquetas